Microsoft Entra ID: ล็อกพิกัดความปลอดภัย ป้องกันการ Login ข้ามโลกด้วย Named Locations!

วันนี้ผมขอสลับมาที่เรื่องความปลอดภัยของ "หัวใจ" องค์กร นั่นคือการจัดการ Identity & Access Management (IAM) โดยจะเจาะลึกฟีเจอร์ที่เรียกว่า "Conditional Access" ใน Microsoft Entra ID กับเทคนิคการตั้งค่าแบบ "Location-Based Access" ครับ

Microsoft Entra ID: ล็อกพิกัดความปลอดภัย ป้องกันการ Login ข้ามโลกด้วย Named Locations!

ในช่วงวันหยุดยาวแบบนี้ พนักงานหลายคนอาจจะไปเที่ยวต่างประเทศ หรือบางคนอาจจะแค่ไปเล่นน้ำแถวบ้าน แต่ในมุมของแฮกเกอร์ พวกเขาทำงาน 24 ชั่วโมงครับ หนึ่งในการโจมตีที่เราพบบ่อยคือการใช้ Credentials ที่ขโมยมาได้ พยายาม Login เข้ามาจากต่างประเทศที่เราไม่มีธุรกิจอยู่เลย

1. Named Locations คืออะไร? (วิชาการสั้นๆ)

มันคือการกำหนด "พื้นที่ปลอดภัย" ให้ระบบรู้จักครับ โดยเราสามารถระบุได้ทั้ง IP Address Ranges ของออฟฟิศ หรือระบุเป็น Countries/Regions ก็ได้ เพื่อนำไปใช้เป็นเงื่อนไขในการอนุญาตหรือบล็อกการเข้าถึงระบบ

2. เทคนิคการตั้งค่าแบบ 'กันเหนียว' (The Security Combo)

เพื่อให้ปลอดภัยที่สุด แอดมินควรใช้สูตรนี้ครับ:

  • Trusted Locations: ใส่ IP ของออฟฟิศ หรือ VPN ของบริษัทไว้ ระบบจะได้รู้ว่านี่คือ "คนกันเอง" ไม่ต้องถาม MFA บ่อยๆ

  • Blocked Countries: ระบุรายชื่อประเทศที่เป็นแหล่งกำเนิดภัยคุกคามสูง หรือประเทศที่พนักงานบริษัทเราไม่มีความจำเป็นต้องไปแน่ๆ เข้าไปในกลุ่ม "Blocked Locations"

3. วิธีผูกเงื่อนไขใน Conditional Access (Step-by-Step)

เมื่อสร้าง Named Locations เสร็จแล้ว ให้ไปสร้าง Policy ดังนี้ครับ:

  1. Assignments: เลือกกลุ่ม User ที่ต้องการ (เช่น All Users ยกเว้น Break-glass account)

  2. Conditions: ไปที่ Locations > เลือก Include (Any location) และ Exclude (All Trusted Locations)

  3. Access Controls: เลือก Block Access หรือ Require MFA * Result: ใครก็ตามที่พยายาม Login มาจากที่ที่ไม่ใช่ "พื้นที่ที่เชื่อถือได้" จะโดนดีดออกทันที หรืออย่างน้อยต้องพิสูจน์ตัวตนอย่างหนักครับ!

4. สรุปข่าว Cybersecurity

เช้านี้มีอัปเดตเกี่ยวกับเทคนิค "Adversary-in-the-Middle (AiTM)" ที่พัฒนาขึ้น โดยแฮกเกอร์ใช้หน้าเว็บปลอมที่สามารถเลียนแบบพิกัดของ User (Location Spoofing) เพื่อหลอกระบบตรวจจับ

  • IT Tip: แนะนำให้แอดมินเปิดใช้งาน "Strict Enforcement" ใน Conditional Access และพิจารณาใช้ "Compliant Device" เป็นอีกหนึ่งเงื่อนไขควบคู่กับ Location เพื่อให้มั่นใจว่าต่อให้พิกัดตรง แต่ถ้าเครื่องไม่พกป้ายชื่อบริษัท (Compliance) ก็เข้าไม่ได้ครับ!

💡 สรุปส่งท้ายสำหรับ Admin

การล็อก Location ไม่ใช่การจำกัดสิทธิพนักงานครับ แต่คือการ "ล้อมรั้ว" ให้กับองค์กร ในวันที่พนักงานออกไปสนุกกับเทศกาล แอดมินอย่างเราควรมีระบบที่ช่วยคัดกรองคนแปลกหน้าข้ามโลกให้อัตโนมัติ เพื่อให้เราได้ไปเล่นน้ำสงกรานต์ได้อย่างสบายใจครับ!

#MicrosoftEntra #ConditionalAccess #IdentitySecurity #IAM #ZeroTrust #CyberSecurity #ITAdmin #NetworkSecurity #BloggerIT #SongkranSecurity


Comments

Post a Comment

Popular posts from this blog

ปลดล็อกพลัง Microsoft Defender for Endpoint: 5 Tips & Tricks ที่ Admin สายลุยต้องรู้! (ฉบับปี 2026)

  ปลดล็อกพลัง Microsoft Defender for Endpoint: 5 Tips & Tricks ที่ Admin สายลุยต้องรู้! (ฉบับปี 2026) ในฐานะ IT Admin หรือ System Engineer การมี Tools ดีๆ อย่าง Microsoft Defender for Endpoint (MDE) อยู่ในมือก็เหมือนมีเกราะป้องกันชั้นยอด แต่จะใช้งานอย่างไรให้ "คุ้มค่า" และ "อุดช่องโหว่" ได้จริง? วันนี้ผมสรุปเทคนิคเด็ดๆ ที่จะช่วยให้การจัดการความปลอดภัยง่ายขึ้นและแม่นยำกว่าเดิมมาฝากครับ 1. เลิกเดาด้วย "Effective Settings" Tab (New!) ฟีเจอร์ใหม่ที่เพิ่ง GA (General Availability) เมื่อต้นปี 2026 นี้เลยครับ ปัญหาโลกแตกของ Admin คือ "เซ็ต Policy ไปแล้ว แต่มัน Apply จริงไหม?" Trick: ให้ไปที่หน้า Device Inventory > เลือกเครื่องที่ต้องการ > คลิกแถบ Configuration Management > Effective Settings * หน้าจอนี้จะบอกเลยว่า Setting ตัวไหน "ใช้งานจริง" อยู่ และมาจาก Source ไหน (Intune, GPO หรือ Local) ช่วยให้แก้ปัญหา Policy ตีกันได้ในพริบตา! 2. ยกระดับการป้องกันด้วย "EDR in Block Mode" หลายคนอาจยังใช้ Antivirus ยี่ห้ออื่นควบคู...
Read more

Microsoft Intune — การจัดการอุปกรณ์ในองค์กรยุคใหม่ที่ IT Admin ต้องรู้

ในยุคที่การทำงานแบบ Hybrid และ Remote Work กลายเป็นเรื่องปกติสำหรับองค์กรทั่วโลก การบริหารจัดการอุปกรณ์ของพนักงานให้มีความปลอดภัยและมีประสิทธิภาพถือเป็นความท้าทายอันดับต้น ๆ ของทีม IT ลองนึกภาพว่าองค์กรของคุณมีพนักงานหลายร้อยคน แต่ละคนใช้อุปกรณ์ที่แตกต่างกัน ทั้ง Windows, macOS, iOS และ Android บางคนทำงานจากบ้าน บางคนทำงานจากต่างประเทศ คำถามคือ IT Admin จะควบคุมดูแลอุปกรณ์เหล่านั้นทั้งหมดได้อย่างไร? คำตอบที่ทรงพลังที่สุดในปัจจุบันคือ Microsoft Intune ซึ่งเป็นบริการ Cloud-based Mobile Device Management (MDM) และ Mobile Application Management (MAM) ที่เป็นส่วนหนึ่งของ Microsoft 365 Intune ช่วยให้องค์กรสามารถจัดการอุปกรณ์, กำหนด Policy ความปลอดภัย, Deploy แอปพลิเคชัน และปกป้องข้อมูลองค์กรได้จากศูนย์กลางเพียงแห่งเดียว โดยไม่จำเป็นต้องพึ่งพา On-premises Infrastructure ที่ซับซ้อนอีกต่อไป บทความนี้จะพาคุณทำความรู้จักกับ Microsoft Intune อย่างครบถ้วน ตั้งแต่ความสามารถหลัก วิธีการ Deploy ไปจนถึงเคล็ดลับจากประสบการณ์จริงที่ IT Admin ในไทยสามารถนำไปใช้ได้ทันที Microsoft Intune คืออะไร และท...
Read more

Azure Active Directory / Entra ID: แนวทางการจัดการ Identity อย่างมืออาชีพในยุค Cloud

ในยุคที่องค์กรไทยหันมาใช้งาน Cloud และ Hybrid Work กันอย่างแพร่หลาย การจัดการ Identity ของผู้ใช้งานกลายเป็นหัวใจสำคัญของระบบ IT Security ทั้งองค์กร Microsoft ได้เปลี่ยนชื่อ Azure Active Directory (Azure AD) มาเป็น Microsoft Entra ID อย่างเป็นทางการตั้งแต่ปี 2023 แต่ฟีเจอร์และแนวทางการใช้งานยังคงพัฒนาต่อเนื่องมาจนถึงปัจจุบัน สำหรับ IT Admin ที่ดูแลระบบขององค์กร การทำความเข้าใจแพลตฟอร์มนี้อย่างลึกซึ้งจึงเป็นสิ่งที่ขาดไม่ได้ Microsoft Entra ID ไม่ใช่แค่ "Active Directory บน Cloud" อย่างที่หลายคนเข้าใจผิด แต่มันคือ Identity and Access Management (IAM) Platform ที่รองรับการทำงานแบบ Modern Authentication, Zero Trust Architecture และการ Integrate กับ Application ทั้ง Microsoft และ Third-party ได้อย่างกว้างขวาง ไม่ว่าจะเป็น Salesforce, Google Workspace, หรือแอปพลิเคชันที่องค์กรพัฒนาเอง บทความนี้จะพาคุณสำรวจแนวทางการจัดการ Identity ด้วย Microsoft Entra ID อย่างเป็นระบบ ตั้งแต่การวางโครงสร้างพื้นฐาน ไปจนถึงเทคนิคที่ใช้ได้จริงในสภาพแวดล้อมขององค์กรไทย เหมาะสำหรับ IT Pro ที่กำลังวา...
Read more